Syftet med hybrid--tanken att en lokal infrastruktur kan användas för att ta del av resurser i Microsoft Cloud--finns i många Microsoft-produkter. Hybrid finns i Microsoft 365 på grund av "arbets belastning" som Exchange Online, Skype för företag – Online och SharePoint i Microsoft 365. Detta är arbets belastningar som alla har en typ av "spegel bild", eller "t", lokal, till exempel Skype för företag – Online har en lokal, Skype för företag – Server 2015 och SharePoint i Microsoft 365 har SharePoint Server 2016.
När jag pratar om Microsoft 365 hybrider i den här artikeln pratar jag om att ansluta dem så att de fungerar tillsammans. Så vi pratar om SharePoint-hybrider, Exchange-hybrider och Skype för företag-hybrider--saker som sträcker sig Microsoft 365 och lokal-här. Målet är att ta bort det tekniska gemensamma underjordet som finns i alla dessa Microsoft 365 hybrider. Med andra ord visar vi Bygg stenarna för Microsoft 365 hybrider.
Hybrider
När jag säger hybrid betyder jag ett samarbete med teknik som tillhör de program du äger och hanterar i ditt företag med de som administrerar våra Microsoft-moln.
Den här definitionen är inte bara till för Azure men de flesta arbets belastningarna i Microsoft 365. Om du inte vet vad en arbets börda är, på det sättet är det ett program som körs på Microsoft 365 Cloud Platform-Skype för företag – Online, Exchange Online och SharePoint Online är exempel. "Arbets belastning" är ett sätt att skydda dem från deras lokala motparter, vilket är användbart för att fortsätta skriva och chatta.
HYBRIDS ökningar använder alla resurser, oavsett var de befinner sig.
Tips: Hybrid är en ständigt växande teknik på Microsoft, med massor av nya möjligheter att beskära och så att du kan konfigurera en hybrid som är mer avancerad för andra. Hybrid konfigurationers funktioner växer och kan komma att ändras härifrån.
Lokala maskin varu resurser i vanliga
Alla hybrider som jag pratar med här ansluter en kund miljö via Internet för att Microsoft 365 (och Azure Active Directory-AAD – i bakgrunden eftersom den fungerar som katalogen för Microsoft 365 ). Infrastrukturen kan vara svår att konfigurera. Trots vad du kanske hörde är det något som ologyt. I verkligheten fungerar de flesta hybriderna på samma sätt som (för den mest delen) samma maskin varu krav.
Från och med 2016 här är de element som alla hybrider behöver. Här är några saker som är valfria, jag får det.
Alla Microsoft 365 hybrid arbets belastningar har följande bra saker:
-
Vissa lokala servrar (som en SharePoint-servergrupp eller Skype för företag).
-
Active Directory lokalt där användarna bor eller är "homeed" (i S4B terminologi).
-
En Azure Active Directory Connect-Server (AAD Connect) (som kan vara fristående eller kombinerad med en annan server, till exempel WA-P). Detta representeras av ' Sync '-ikonen eftersom AAD Connect används för att synkronisera konton från lokaler till molnet i en hybrid.
-
[Valfritt] En Reverse-proxyserver, som i alla mina exempel, är Web Application Proxy-servern (WA-P).
-
[Valfritt] Du kan också använda Active Directory Federation server (eller ADFS).
Obs!: Du behöver inte använda ADFS. Med AAD Connect kan du "Lösenordssynkronisering" till molnet tillsammans med replikera användar identiteter. Men du skickar inga lösen ord via Internet. Du skickar ett icke reversibelt hashvärde av lösen ordet över en säker TLS-anslutning.
Dessutom är hybrid guider inbyggda för varje arbets belastning för att hjälpa dig att samar beta med molnet så att du kan använda alla verktyg som finns i ditt kasse ring (oavsett var de bor).
Om du inte har AD FS behöver du inte uppfylla kraven för efterlevnad och inte vill ha den extra komplexiteten. AAD Connect är utformat för att få jobbet gjort (och replikeringsintervallet är ned till cirka 3 timmar till 30 minuter, vilket är en användbar förbättring).
Många större företag har en del av dessa servrar. Många har Active Directory-domänkontrollanter eller kan ha ADFS-servrar. Om du funderar på att konfigurera en hybrid kanske du vill kontrol lera med andra administratörer att ta reda på vilka lokala resurser som redan finns på plats. Det hjälper dig att avgöra om du vill använda befintliga infrastruktur delar eller nya.
Vad händer med dessa servrar?
Hoppa över det här avsnittet om du redan vet vad dessa servrar gör.
De flesta människor är bekanta med Active Directory (AD)--hur den räknar upp användare och objekt i en domän eller en skog (bland annat) – och i fråga om hybriden är det en start bas för de användare som ska replikeras till Microsoft Cloud. Jobben för synkroniseringen (AAD Connect), ADFS och WA-P (vårt exempel är omvänd proxy) är lite nyare och mer centrala för att bearbeta hybrid-HTTPS-begäranden och-identiteter så att vi kan prata med dem.
AD
Om du vill granska jobbet för Active Directory Federation Services är det enklare att hålla båda sidor av hybriden att känna igen, och i så fall ska Microsoft 365 verifiera och lita på det ADFS (eller ADFS-kluster) som ett verifierat offentligt domän namn tillhör. Detta möjliggör enkel inloggning. Det innebär att när användare med ett associerat UPN-program visar sig för autentisering mot online-resurser, kommer Microsoft 365 att veta deras UPN och vilken specifika ADFS-server som användarna ska skicka till för autentisering. När Heidi@contoso.com går igenom inloggnings processen för Exchange Online, kommer Microsoft 365 att skicka en begäran till dina lokaler så att AD FS kan ingripa mot verifiering och antingen bekräfta vem hon är anspråk på eller avvisa. Det kan hända om nätverket och konfigurationen tillåter det. ADFS används om du vill använda enkel inloggning: När användarna loggar in i en ADFS-session, spärrar ADFS-servern tyst alla andra autentiseringsförsök (som inträffar när du växlar mellan arbets belastningar, till exempel) för att påminna Microsoft 365 att du är den du säger att du är. Eftersom vissa IT-avdelningar har efterlevnad eller informations säkerhets inställningar som kräver lösen ord kan vara lokala och andra inte är det valfritt.
Obs!: Det spelar ingen roll om hybridens arbets belastning, ADFS endast används när det behövs enkel inloggning, eller om det inte är kompatibelt med standarder eller kunder som behöver flytta en lösen ords-hash via Internet och till en katalog utanför företagets brand vägg. Det är viktigt att tänka på att Lösenordssynkronisering är aktiverat som standard i guiden Anslut med AAD i Exchange. ADFS-svar på användar kataloger AD eller ADAM (Active Directory Application Mode).
Omvänd proxy
Web Access-proxy är en omvänd proxy (RP) som har byggts in i Windows Server-operativsystem sedan 2012 R2 släpptes. En omvänd proxyserver är en uppvänt punkt för att hantera din grupps räkning. Den har en "sida" som riktar sig till Internet och känner till det offentliga domän namnet för Microsoft 365 hybrid och en "sida" som riktar sig till ditt Intranet eller perimeternätverket och känner till domän namnet på de interna resurserna (till exempel URL-adressen till din SharePoint-webbplats). Den fångar upp alla förfrågningar som kommer till ditt företag och låter dig blockera portar, begränsa trafiken du kommer att acceptera från Internet och dölja de interna adresserna och URL-adresserna för ditt nätverk från utsidan. Precis som alla RPs är det en proxy för interna servrar i nätverket när användare utanför nätverket försöker nå en resurs.
I SharePoint 2013-hybrider används en omvänd proxy, till exempel WA-P för att avlyssna inkommande trafik (från användare i SPO för att skapa frågor mot ett on-lokala-sökindex för Sök federationen), men eftersom SharePoint 2016-molnet lägger till hela indexet i molnet nästa generation behöver inte längre vara en (vilket är den enda anledningen till att den är markerad som valfri i diagrammen). Men SharePoint 2013 är inte den enda plats där du ser en omvänd proxy som används för att avlyssna oombedd trafik från Internet. I Skype för företag 2016 används en med konfigurations gräns och i Exchange 2016 används en på dess gräns. Eftersom vissa situationer kräver det är WA-P valfritt.
Meddelanden:
-
WA-P används i SharePoint-hybrider (2013-federerade hybrider) för att publicera en SharePoint-slutpunkt genom ett företags kant. WA-P fångar upp samtal från SPO för dokument som ska visas i Sök resultat eller objekt som ska visas i listor som drivs av BCS eller SAP. I moln HYBRIDS ökning behövs bara WA-P om du vill visa förhands granskningar i dina Sök resultat (du måste publicera en slut punkt för Office Web Apps-servern genom kanten). I Skype för företag används WA-P för att avlyssna snabb meddelanden och konferens trafik utanför företaget och omdirigera det till Skype för företag-Edge för vidare bearbetning.
-
Med Exchange-hybrid används verktyget AAD Connect under dess hybrid guide för att ge kunderna möjligheten att automatiskt installera och konfigurera ADFS och WA-P för Exchange hybrid användning, vilket minskar komplexiteten du kommer fram när du konfigurerar en hybrid. Varken konfiguration och konfiguration eller registrering av ADFS-certifikat görs automatiskt till annan hybrid arbets belastning.
Synkronisera
Bilden som jag använder visar "synkronisera" för Azure Active Directory Connect. Den synkronisering som görs av AAD Connect inkluderar den pågående överföringen av användare och/eller användar information från din lokala och till molnet. AAD Connect kan göra två saker: det replikerar användar konton till Microsoft 365 (replikering) och kan synkronisera lösen ords information till Microsoft 365 (egentligen är det inte att synkronisera lösen ordet, men ett icke-reversibelt hashvärde representerar lösen ordet-synkroniseringen). Det behöver inte synkronisera ditt lösen ord, men det synkroniseras alltid (replikerar) dina användar konton från Active Directory (eller en filtrerad version av din lokala användar katalog)!
AAD Connect fungerar med felfria domänkontrollanter i din Active Directory-domän för att tillåta "samma inloggning" istället för AD FS "enkel inloggning". Samma inloggning innebär att om du i stället för att logga in en enda gång och har ADFS inträder under alla uppmaningar för din session, loggar du in med samma lösen ord som på lokala (och väljer sedan alternativet för att se till att du har loggat in för att minska antalet uppmaningar som resultat från navigering i flera arbets belastningar). AAD Connect för Sync är inte valfritt.
Meddelanden:
-
Det spelar ingen roll för Hybrid arbets belastning, alla kräver AAD Connect. En replikering och valfri Lösenordssynkronisering för dina användare att Microsoft 365 (och Azure-ANNONSen bakom den) behövs i alla fall.
-
Andra likheter inkluderar den Lösenordssynkronisering (används för samma-inloggning), vilket innebär att du måste ange ändringar i katalog ändringar och replikera kataloger i Active Directory-domänerna som synkroniseras – gör detta för det lokala kontot används av AAD Connect och att du måste skapa en DNS-post för A-eller AAAA-värden för namnet på en ADFS-server som används för SSO så att WA-P kan matcha ADFS-serverns adress.
Internet och Internet – tillgängliga hybrid delar gemensamt
Motstående lokala servrar i Microsoft 365 hybrid och över Internet är Microsofts moln, där-det spelar ingen roll Microsoft 365 belastning – du kommer att använda en del bekant teknik. Till exempel:
-
Offentliga DNS-poster
-
Offentliga certifikat utfärdare
-
Azure Active Directory (AAD)
-
Microsoft 365 (licenser/för användning) och Microsoft 365 hybrid guider
-
Ett server-till-Server-förtroende (S2S)
-
Uttrycka vägen och/eller Internet trafiken
-
PowerShell-moduler
Offentliga DNS-registratorer, till exempel GoDaddy, hantera och tillåta registrering av domän namn. Om du vill använda Hybrid måste du registrera ett domän namn med offentlig DNS (detta kan redan göras åt dig i stora företag). Det här domän namnet läggs till i Microsoft 365, vilket innebär att du äger det offentliga domän namn du lägger till.
Vanligt vis är det här offentliga domän namnet detsamma som Active Directory-UPN som är kopplat till Hybrid användare lokalt, men kan inte komma i detalj. Med samband för attributet ' onpremisessecurityidentifier ' i PowerShell, som matchar den registrerade domänen i Microsoft 365 med UPN för användare på-lokala är inte längre lika viktig som den är. Det är viktigt att veta att du behöver ett offentligt domän namn som du kan bevisa, detta offentliga domän namn registreras i Microsoft 365 och representerar din Microsoft 365-närvaro på vardera sidan av hybrid anslutningen.
Offentliga certifikat utfärdare ger dig tillförlitliga SSL/TLS-certifikat för kryptering av nätverks trafiken. I alla arbets belastningar är hybrid kommunikation att placeras över en krypterad anslutning. Du behöver ett certifikat från en offentlig certifikat utfärdare på Internet. Att hämta och SSL/TLS-certifikat är en standard metod och det finns ofta offentliga certifikat processer i stora företag som underlättar detta. I mindre företag kan du behöva höra din IT-person, Microsoft 365 dokumentationen och din Internet leverantör.
Obs!: Du kanske inte behöver tillämpa dina offentliga certifikat manuellt. EDA (Exchange Deployment Assistant) för Exchange-hybrider använder Azure AD Connect för att vägleda dig genom den här processen och registrerar certifikat för din ADFS-Server (om du använder en ADFS). EDA är utformat för att effektivisera processen att bli hybrid.
Azure Active Directory eller Azure AD finns i bakgrunden när du synkroniserar/replikerar användare från lokala platser till ditt Microsoft 365-abonnemang (dina moln lokaler). Det är exakt samma Active Directory som används i bredare Azure. Kraftfullt och smidigt blandade med Microsoft 365. Du hanterar användarna och användar licenser i den här katalogen. Det går inte att hantera licenser i Microsoft 365 automatiskt i en hybrid guide. Våra licenser kostar kunderna pengar, så beslut om vem och hur många få licenser som görs automatiskt.
Microsoft 365 är helt halva din hybrid. Den har hybrid guider online per arbets belastning. Det här är inte särskilt effektivt, men det här är hur hybrid fungerar med 2016 (eller, med andra ord, från versionen av SharePoint Server 2016, Exchange Server 2016 och Skype för företag – Server 2015 lokalt). Men det är inte det enklaste sättet att konfigurera alla element i en hybrid. En enda hybrid guide som gör det möjligt för kunderna att välja vilka arbets uppgifter du vill göra hybrid och att gå igenom den processen per arbets belastning samt ett hybrid kommando Center – en Microsoft 365 administrativ instrument panel – som kan rapportera om teknologier som används av varje Hybrid är felfri och/eller redan finns.
Vad betyder det? Det innebär att varje guide utför samma steg och oftare än en gång. Alla guider aktiverar OAuth (S2S Trust), till exempel (vi pratar om OAuth senare). Vissa guider, till exempel SharePoint Onlines arbets Belastningens hybrid väljare, installerar du OAuth oavsett vilken knapp du klickar på (för varje val du gör), om OAuth krävs för ditt hybrid scenario. Andra guider, till exempel guiden Exchange-hybrid, konfigurera OAuth i bakgrunden och bara en gång.
Ett S2S-förtroende behöver inte gå över till Internet, men om det gäller HYBRIDS ökningar måste detta förtroende vara. En S2S är inte som en domän eller ett skogs förtroende. Det finns inte ett stort antal portar att öppna och ingen djupare integrering för att skapa mellan aktiva kataloger. S2S skapar en betrodd anslutning mellan din lokala SharePoint-servergrupp och en del av Microsoft 365-molnet som kallas åtkomst kontroll tjänsten eller ACS (en auktoriseringsprincip). Förtroendet baseras på ett SSL/TLS-certifikat som signerar token för användarnas räkning, att dina lokala och Microsoft 365 ACS båda godkänner är pålitligt – Tänk på det som ett stort fem mellan on-lokala SharePoint (och dess ACS-proxyserver) och Azure ACS för alla giltiga användare som ska använda tjänsten. Kommunikation om användar identiteter (orsaken till det här förtroendet) görs via HTTP/443.
Obs!: Precis som med Azure AD har Microsoft 365 ett förtroende med Azure ACS.
Hybrider kan använda självsignerade eller offentliga certifikat här. Många stora företag väljer offentliga certifikat på grund av sina informations rikt nummer – det är i stort sett att trafiken korsar Internet, ett icke betrott segment. För SharePoint-hybrider kan detta certifikat vara ett nytt självsignerat certifikat eller ett extraherat från ett SP STS-signerings certifikat lokalt. (Om du har använt ett nytt certifikat (offentligt eller självsignerat) i en SharePoint-hybrid måste du ersätta SP STS-signerings certifikat för alla noder i SharePoint-servergruppen.)
Trafik i en hybrid lämnar ett klient företag/organisation, korsar Internet och anger molnet Microsoft organisation/Microsoft Microsoft 365. Det finns ett sätt att kringgå detta icke-betrott och okontrollerat segment och det är genom att använda en tredjeparts leverantör baserad Express-routning från ditt företag eller din organisation till det Microsoft 365 molnet. Express dirigering kringgår Internet genom att erbjuda en privat WAN-anslutning till Microsofts moln. Men det är viktigt att inse att reserven fortfarande är Internet när WAN-tjänsten är ett fel.
Alla hybrider använder PowerShell-moduler för delar av antingen hantering eller konfiguration. De flesta moduler du behöver kommer troligen att inkludera Microsoft Online Services-inloggnings assistentoch Azure Active Directory-modulen för Windows PowerShell. Du kan förbereda servrar för konfiguration och hantering av dina hybrider i förväg genom att installera de här vanliga PowerShell-modulerna.
Gemensamma portar och protokoll
Hybrider är 1/2 lokala och 1/2 Microsoft 365 (Azure SaaS eller PaaS hybrider ingår inte i det här dokumentet). Det är väldigt troligt att båda halvor körs på HTTPs, men minst Microsoft 365 hälften är 100% https/krypterat av TLS-certifikat, vilket innebär att det körs över standard port 443. Du måste kontrol lera att ett offentligt certifikat är associerat med trafik från ditt utgående samtal. Det innebär att du måste installera ett certifikat på den dator du pratar med på nätverkets kant – den här trafiken körs över 443 och är krypterad.
Obs!: Om du använder ADFS behöver du bara tre certifikat, varav ett offentligt utfärdas och användas för kommunikation av tjänster (det kommer att finnas i din WA-P-proxyserver om du väljer att använda ADFS), varav två är självsignerade certifikat som görs när AD FS installeras , med förbehåll för automatisk förnyelse, och är de certifikat för tokensignering och token-dekryptering som används för att signera alla de token som görs i ADFS. Förutom certifikat som krävs av valfri ADFS måste alla hybrider ha ett S2S-certifikat (kallas ibland för ett S2S ACS-förtroendeobjektet, som är för långt ett namn).
Alla hybrider använder 443 (HTTPS) och 53 (DNS) som standard för Hybrid trafik. Vissa kommer att använda ytterligare portar som port 25 (SMTP). Men det mest komplexa fallet i hybrid arbets belastning för portar är Skype för företag. Som tur är är portarna dokumenterade.
Det Standout-protokoll som används av alla hybrider (förutom benchmarks som används för DNS-sökning, HTTPS-trafik, SMTP och andra standarder) är OAuth (Open Authorization), som också används i Active Directory-autentiseringspaketet. Den används när en server resurs på ena sidan av anslutningen måste agera för att en användare ska kunna komma åt resurser på en annan server, ofta i molnet. Det är ett sätt som du kan använda för att få en verifierad användare åtkomst till en fil eller en resurs. Detta kallas även "modern autentisering" (fastän OAuth refererar till Authorization).
Alla arbets belastningar använder OAuth/S2S i en hybrid (men inte för varje hybrid funktion). Hybrid guider ställer vanligt vis upp detta användbara protokoll automatiskt. Men det finns ingen Unification av denna ansträngning för arbets belastningarna, ingen rapportering av OAuth-tillstånd till kunden och inget centraliserat sätt att hantera den här universella resursen från 2016.
I vissa fall aktiverar hybrid guider OAuth on när det inte behövs (som när SharePoint hybrid väljar aktiverar det för OneDrive för företag-omdirigering till molnet) eller på varje alternativ i ett hybrid alternativ i guiden (igen, se SharePoint-hybridens väljare) eller ännu utanför hybrid väljaren i anpassade installations skript, till exempel med moln HYBRIDS ökning.
Obs!: Du kan ta en lynchpin av hybriden så att den blir server-till-Server (S2S) mellan lokala och moln. Det kan vara bra att vara medveten om att S2S är Microsofts namn för dess implementering av OAuth. Underliggande S2S/OAuth i alla våra arbets belastningar är autentiserings-och identitets lagren, som båda använder anspråksautentisering.
Tabell med gemensamma element i Microsoft 365 hybrider
Nu finns det en lista med vanliga element som ser ut så här:
|
Saker som hybrid arbets belastning har gemensamt |
|
|
Lokala maskin vara |
Lokala program som samarbetar med arbets belastningar i Microsoft 365 (till exempel Exchange Server till Exchange Online) AAD Connect Omvänd proxy (vid behov) ADFS (valfritt) |
|
Internet saker |
Offentliga DNS-poster Offentliga certifikat utfärdare Azure Active Directory (AAD är användar katalogen i Microsoft 365 ) Microsoft 365 (E1, E3, E5 abonnemang) Microsoft 365 hybrid guider Server-till-Server (S2S) |
|
Portar och protokoll |
HTTPS SERVERTJÄNSTEN S2S/OAuth |
För alla arbets belastningar är det i sista hand att få användare att vara likadana med gränser så att vi kan förenkla två av de viktigaste funktionerna a hybrid gör – det är bara att ta reda på användarens identitet och hur hon är tillåten att se.
En anteckning om "valfritt"
Vissa av de här elementen är "valfritt", men hur vet du om de behövs? Vissa delar i Microsoft 365 hybrider är helt valfria eller inte valfria i anslags tavlan:
|
Helt valfria-alla Microsoft 365 hybrider |
Ej obligatoriskt/obligatoriskt för alla Microsoft 365 hybrider |
|
AD |
AAD Connect |
Inom en fungerande hybrid finns det andra funktioner som ingår i ett grått område. Det viktigaste är förmodligen S2S-förtroendet/OAuth. Det här förtroendet skapas av varje hybrid guide som skapats i Microsoft och förtroendet byggs som standard, även om det inte är obligatoriskt, för att få "framtida korrektur" hybrider. När du är på Hybrid via en guide används den här funktionen. (Som du såg tidigare) används den inte för närvarande i alla fall.
En omvänd proxyserver (WA-P i vårt exempel) behövs när det finns en oombedd begäran om inkommande till kundens organisation för data eller information (till exempel om du använder hybrid BCS när du publicerar Office Web Apps eller Office Online server för förhands granskning av dokument i sökning resultat). Det är också nödvändigt när du publicerar en slut punkt till en DMZ i ditt företag, till exempel när Exchange använder WA-P som en ADFS-proxyserver (så om du använder ADFS i en Exchange-hybrid behöver du WA-P).
Kanter behövs för att hantera enhetliga kommunikations kanaler för pågående chatt i Skype för företag – hybrid och kan användas för att dirigera SMTP-trafik till nätverket från en perimeter i en Exchange-hybrid. Enligt beskrivningen används AD FS för enkel inloggning.
|
Måste använda en omvänd proxy |
Använda en omvänd proxyserver (valfritt) |
Ingen omvänd proxyserver behövs |
|
SharePoint hybrid inkommande sökning SharePoint hybrid BCS Skype för företag-hybrid |
SharePoint-moln hybrid (Cloud SSA) Exchange-hybrid med AD FS för SSO |
Omdirigera till OneDrive för företag SharePoint hybrid webbplats funktioner Omdirigera för SharePoint-hybrid profiler Hybrid extra nät omdirigering |
Det finns likartade tabeller för S2S, till exempel den här tabellen för SharePoint-servrar i hybrid konfiguration. Tabeller som den här kan byggas med logiken i S2S-protokollet som används när en server resurs på ena sidan av hybrid anslutningen måste agera för att en användare ska kunna använda resurser på en annan server i molnet.
|
Hybrid funktioner i SharePoint som måste använda OAuth |
Hybrid funktioner i SharePoint som inte använder OAuth |
|
HYBRIDS ökning (utgående + inkommande) Cloud SSA-sökning (moln skydd) med användning av förhands granskningar av sökningar Hybrid Konnektivitetstjänster för företag (BCS) Hybrid webbplats funktioner Hybrid profiler Hybrid hanterade metadata |
OneDrive för företag-omdirigering * Hybrid extra nät * Hybrid profiler * Molnet HYBRIDS ökning (Cloud SSA) utan användning av förhands granskningar av sökningar |
* För SharePoint hybrid väljaren aktive ras OAuth, men detta gäller för alla framtida Hybrid konfigurationer.
